MEGA publica los primeros fallos de seguridad reportados desde el lanzamiento del programa de recompensas
En Teknofilo hemos ido dando buena cuenta de todos los problemas de seguridad que han surgido desde el lanzamiento de MEGA (aquí,aquí y aquí) y, hace unos días, dimos a conocer la recompensa de 10.000 dólares que ofrece MEGA a aquellos usuarios que consigan romper su seguridad.
Durante este fin de semana, MEGA ha publicado la primera tanda de problemas de seguridad descubiertos por los usuarios. Se trata de siete problemas que, de acuerdo a la propia clasificación de MEGA, van desde la severidad 1 («escenarios del más bajo impacto o puramente teóricos») hasta la severidad 4 («fallos en el diseño de la criptografía que solo pueden ser explotados tras comprometer la infraestructura de servidores en vivo o post-mortem»), no habiéndose descubierto ninguno de severidades 5 y 6.
Si bien MEGA deja claro cuáles de estos problemas se han solucionado, no se proporciona ninguna información respecto a quienes reportaron dichos problemas ni qué tipo de compensación han recibido. Sin embargo, Dotcom ha retweeteado a @TheHackersNews dando la enhorabuena a @fransrosen (un experto en seguridad) por ganar 1.000 euros por su envío.
Congratulations @fransrosen for XSS in #MEGA. Handsome EUR 1000 in Bug Bounty Program twitter.com/fransrosen/sta…
— The Hacker News™ (@TheHackersNews) 10 de febrero de 2013
El mensaje de MEGA en su blog afirma que, a pesar de que se han descubierto algunas vulnerabilidades, no hay razón para pare preocuparse por el momento.
«Creemos que sería un poco prematuro extraer ninguna conclusión este momento-apenas tres semanas después del lanzamiento y una semana con el programa.
Está claro que las vulnerabilidades identificadas por le momento se podían haber encontrado analizando solo unas pocas líneas de código de golpe; ninguna de ellas requirió un análisis a un nivel más alto de abstracción.
No hace falta mencionar que nadie ha conseguido descifrar ninguno de los restos de fuerza bruta por el momento (por favor pregunten de nuevo en un billón de billones de años).»
Fuente: Ars Technica